Oct 07 2012

Dcpromo: the system detected a possible attempt to compromise security.

Lors du demote d’un DC (i.e. désinstallation d’ADDS) avec dcpromo.exe nous sommes tombés sur le message d’erreur suivant:

The operation failed because: Managing the network session with dc-srv2.ldap389.local failed. “The system detected a possible attempt to compromise security. Please ensure that you can contact the server that authenticated you.”



L’analyse du fichier dcpromo.log ne donne pas beaucoup plus d’informations:

10/04/2012 11:24:02 [INFO] Error – Managing the network session with dc-srv2.ldap389.local failed  (1265)
10/04/2012 11:24:02 [ERROR] Failed to establish the session with dc-srv2.ldap389.local: 0x4f1
10/04/2012 11:24:02 [INFO] The attempted domain controller operation has completed

A l’analyse du journal d’événements aucune information concernant une erreur de dcpromo, par contre on voit le warning suivant:

L’event ID 6 de source Kerberos est typique d’un ticket kerberos trop large pour le compte utilisateur authentifié: La solution donc été de retirer ce compte administrateur de quelques groupes afin d’alléger la taille du ticket et ne plus avoir de message d’erreur pour désinstaller notre DC sans problème.

Sous Windows 2008/7 et versions antérieures la taille limite par défaut d’un ticket Kerberos est de 12000 bytes, sous Windows 2012/8 elle est de 48000 bytes. Cette valeur par défaut peut être modifiée via GPO, cependant avant de modifier ce paramètre il faut pouvoir définir la taille limite la plus adaptée à votre environnement. Cela peut se faire grâce à l’outil tokensz.exe, ce qui peut s’avérer laborieux. Sous Windows 2012/8 un nouveau paramètre de GPO vous permet d’émettre des warning dans le journal d’événements de vos DCs dès que la taille d’un ticket s’approche (seuil à définir par vos soins) de la taille limite configurée, tout cela est expliqué dans ce post de AskDS.

This post is also available in: Anglais

No Comments

No comments yet.

RSS feed for comments on this post. TrackBack URI

Leave a comment

*

WordPress Themes

Blossom Icon Set

Software Top Blogs